Apache Tomcat-servers doelwit van Mirai Botnet-acteurs

Aqua heeft onlangs een zorgwekkende trend ontdekt waarbij Apache Tomcat-servers die verkeerd geconfigureerd en slecht beveiligd zijn, de belangrijkste doelen worden voor een nieuw georkestreerde campagne. Deze campagne is speciaal ontworpen om de beruchte Mirai-botnet-malware en cryptocurrency-miners los te laten.

In een tijdsbestek van twee jaar detecteerde Aqua maar liefst 800 aanvallen gericht op hun Tomcat-server-honeypots. Schokkend genoeg was 96% van deze aanvallen rechtstreeks gekoppeld aan het beruchte Mirai-botnet.

De dreigingsactoren achter deze aanvallen gebruikten bij 20% van hun pogingen een webshell-script met de naam "neww" (152 aanvallen in totaal). Dit script is afkomstig van 24 unieke IP-adressen, waarvan een significante 68% afkomstig is van één IP-adres (104.248.157[.]218).

De modus operandi van de aanvallers omvatte het scannen naar kwetsbare Tomcat-servers en vervolgens het lanceren van brute force-aanvallen om ongeoorloofde toegang te krijgen tot de Tomcat-webapplicatiebeheerder. Hun doel was om verschillende combinaties van referenties die bij de manager horen te testen totdat ze een succesvol toegangspunt vonden.

Webshell gebruikt op gecompromitteerde servers

Zodra ze toegang hadden gekregen, gingen de bedreigingsactoren verder met het implementeren van een WAR-bestand met een schadelijke webshell-klasse die bekend staat als 'cmd.jsp'. Deze webshell is slim ontworpen om te reageren op externe verzoeken, waardoor de aanvallers willekeurige opdrachten kunnen uitvoeren op de gecompromitteerde Tomcat-server.

Een van de uitgevoerde commando's was het downloaden en uitvoeren van een shell-script genaamd "neww", dat prompt werd verwijderd met behulp van het "rm -rf" Linux-commando om sporen van de operatie te wissen. Dit script bevatte met name koppelingen om 12 binaire bestanden te downloaden, elk afgestemd op de specifieke architectuur van het beoogde systeem.

Als laatste alarmerende wending was de malware die in deze campagne werd gebruikt een variant van het beruchte Mirai-botnet. Deze specifieke soort maakte gebruik van de gecompromitteerde hosts om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren, waardoor de toch al dreigende situatie nog meer gevaar kreeg.

Om hun aanval uit te voeren, maakten de dreigingsactoren slim gebruik van de webapplicatiebeheerder en uploadden de webshell vermomd als een WAR-bestand. Van daaruit voerden ze op afstand commando's uit en ontketenden ze de verwoestende aanval op de beoogde servers.

Het is van cruciaal belang voor serverbeheerders om waakzaam te blijven en te zorgen voor de juiste configuratie en beveiliging van hun Apache Tomcat-servers om dergelijke kwaadaardige campagnes te dwarsbomen en te beschermen tegen mogelijke infiltratie door het Mirai-botnet of andere vormen van malware.